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Beschreibung 

Verfahren und Vorrichtung zur kryptographischen Bearbeitung 
anhand einer elliptischen Kurve auf einem Rechner 

Die Erfindung betrifft ein Verfahren und eine Anordnung zur 
kryptographischen Bearbeitung anhand einer elliptischen; Kurve 
auf einem Rechner. 

Ein endlicher Korper heifit Galois-Feld. Zu den Eigenschaf ten 
und zur Definition des Galois-Feldes sei auf [3] verwiesen. 

Mit der weiten Verbreitung von Computernet zen und zugehorigen 
Anwendungen, die iiber elektronische Kommunikationssysteme 
(Kommunikationsnetze) abgewickelt werden, werden zunehmend 
wachsende Anf orderungen an die Datensicherheit gestellt. Der 
Aspekt der Datensicherheit berticksichtigt u.a. 

- die Moglichkeit eines Ausfalls der Datenubertragung, 

- die Moglichkeit korrumpierter Daten, 

- die Authentizitat der Daten, also die Feststellbarkeit und 
die Identif ikation eines Absenders und 

- den Schutz der Vertraulichkeit der Daten. 

Unter einem "Schlussel" werden Daten verstanden, die bei der 
kryptographischen Bearbeitung Verwendung finden. Aus Public- 
Key-Verf ahren [4] ist bekannt, einen geheimen und einen 
offentlichen Schlussel einzusetzen. 

Ein "Angreifer" ist eine nichtautorisierte Person mit dem 
Ziel, an den Schlussel zu gelangen. 

Insbesondere in einem Rechnernetz, in zunehmenden Mafie aber 
auch in portablen Medien, z.B. einem Mobiltelefon oder einer 
Chipkarte, ist sicherzustellen, daft ein abgespeicherter 
Schlussel auch dann nicht zuganglich ist, wenn ein Angreifer 
sich des Rechners, des Mobiltelef ons oder der Chipkarte 
bemachtigt . 
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Urn ausreichende Sicherheit kryptographischer Verfahren zu 
gewahrleisten, werden Schliissel, insbesondere bei 
asymmetrischen Verfahren, jeweils mit Langen von mehreren 100 
Bits bestimmt. Ein Speicherbereich eines Rechners oder 
portablen Mediums ist zumeist knapp bemessen. Eine Lange 
eines in einem solchen Speicherbereich abgelegten SchlUssels 
von mehreren 100 Bits verringert den freien Speicherplat z auf 
dem Rechner bzw. dem Medium, so dafi nur wenige solcher 
Schliissel auf einmal abgespeichert werden konnen. 

Aus [1] und [2] ist eine elliptische Kurve und deren 
Anwendung bei der kryptographischen Bearbeitung bekannt. 

Die Aufgabe der Erfindung besteht darin, ein Verfahren zur 
kryptographischen Bearbeitung anhand mindestens einer 
elliptischen Kurve auf einem Rechner anzugeben, wobei weniger 
Speicherplatz benotigt wird. 

Diese Aufgabe wird gemaB der Merkmale der unabhangigen 
Patentanspriiche gelost . 

Es wird ein Verfahren zur kryptographischen Bearbeitung 
anhand mindestens einer elliptischen Kurve auf einem Rechner 
angegeben, bei dem die elliptische Kurve in einer ersten Form 
vorgegeben wird, wobei mehrere erste Parameter die 
elliptische Kurve in der ersten Form bestimmen. Die 
elliptische Kurve wird in eine zweite Form transf ormiert , 
indem mehrere zweite Parameter bestimmt werden, wobei 
mindestens einer der zweiten Parameter in seiner Lange 
gegenuber einem der ersten Parameter verkurzt wird. Die 
elliptische Kurve nach der Transformation, also in der 
zweiten Form, wird zur kryptographischen Bearbeitung 
verwendet . 

Durch die signifikante Verkurzung eines der ersten Parameter 
ergibt sich eine Einsparung eines fur diesen Parameter 
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bereitzustellenden Speicherbereichs . Da der Speicherbereich, 
z.B. auf einer Chipkarte, eng bemessen ist, erreicht man 
durch die Einsparung mehrerer 100 Bit fiir jeden verktirzten 
Parameter freien Speicherplat z z.B, zum Abspeichern eines 
weiteren geheimen Schltissels. . Durch die Verkurzung des 
jeweiligen Parameters bleibt ist die Sicherheit des 
kryptographischen Verfahrens trotzdem gewahrleistet . 

Bei Verwendung einer elliptischen Kurve in einem 
kryptographischen Verfahren steigt der Aufwand fur einen 
Angreifer, den Schlussel zu ermitteln, exponentiell mit 
dessen Lange. 

Eine Weiterbildung der Erfindung besteht darin, daft die erst 
Form der elliptischen Kurve bestimmt ist durch: 

2 3 

y = x + ax + b iiber GF(p) (1) 



bezeichnen . 

Die spater verwendete Bezeichnung "mod p" bezeichnet einen 
Spezialfall fur das Galois-Feld, namlich die naturlichen 
Zahlen kleiner p. "mod" steht fur MODULO und umfafit eine 
Ganzzahldivision mit Rest. 

Eine andere Weiterbildung besteht darin, daft die zweite Form 
der elliptischen Kurve bestimmt ist durch 

y 2 = x 3 + c 4 ax + c 6 b iiber GF(p) (2) 



wobei 



GF(p) 
x, y, a, b 



ein Galois-Feld mit p Elementen und 
Elemente des Korpers GF(p) 



wobei c eine Konstante bezeichnet. 
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Zur Einsparung von Speicherplat z wird Gleichung (1) in 
Gleichung (2) transf ormiert und eine die elliptische Kurve 
gemafl Gleichung (2) kennzeichnende Grofie verkiirzt. 

Eine Weiterbildung besteht darin, den Parameter a zu 
verktirzen, indem die Konstante c derart gewahlt wird, daiJ 

4 

c a mod p ( 3 ) 

deutlich kiirzer wird als die anderen die elliptische Kurven 
nach Gleichung (2) beschreibenden Parameter. Durch diese 
Verkurzung benotigt der Parameter entsprechend weniger 
Speicherplatz . 



Auch ist es eine Weiterbildung, das Verfahren in einer der 
folgenden Anwendungen einzusetzen: 

• Verschlusselung bzw. Entschliisselung : 

Daten werden von einem Sender verschliisselt - mittels 
symmetrischem oder as ymmetrischem Verfahren - und auf der 
Gegenseite bei einem Empf anger entschlusselt . 

• Schlusselvergabe durch eine Zertif izierungsinstanz : 

Eine vertrauenswiirdige Einrichtung ( Zertif izierungsinstanz ) 
vergibt den Schlussel, wobei sichergestellt werden mufi, dafl 
der Schlussel von dieser Zertif izierungsinstanz stammt. 

• digitale Signatur bzw. Verifikation der digitalen Signatur: 
Ein elektronisches Dokument wird signiert und die Signatur 
dem Dokument angefugt. Bei dem Empf anger kann anhand er 
Signatur festgestellt werden, ob auch wirklich der 
gewiinschte Sender unterschr ieben hat. 

• asymmetrische Authentikation : 

Anhand eines asymmetrischen Verfahrens kann ein Benutzer 
seine Identitat nachweisen. Vorzugweise geschieht das durch 
Codierung mit einem entsprechenden geheimen (privaten) 
Schlussel. Mit dem zugehorigen offentlichen Schlussel 
dieses Benutzers kann jeder feststellen, daii die Codierung 
wirklich von diesem Benutzer stammt. 
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• Verkurzen von Schllisseln: 

Eine Variante der kryptographischen Bearbeitung umfaJJt das 
Verkurzen eines Schlussels, welcher Schliissel bevorzugt fur 
weitergehende Verfahren der Kryptographie verwendet werden 
kann . 

Ferner ist eine Vorrichtung angegeben, die eine ^ 
Prozessoreinheit aufweist, die derart eingerichtet ist, dafl 
eine elliptische Kurve in einer ersten Form vorgegeben wird, 
wobei mehrere erste Parameter die elliptische Kurve 
bestimmen, und dai3 die elliptische Kurve in eine zweite Form 
transf ormiert wird, indem mehrere zweite Parameter bestimmt 
werden, wobei mindestens einer der zweiten Parameter in 
seiner Lange gegenuber den ersten Parameter verktirzt wird. 
Schliefllich wird die elliptische Kurve in der zweiten Form 
zur kryptographischen Bearbeitung bestimmt. 

Diese Vorrichtung kann eine Chipkarte sein, die einen 
geschiitzten und einen nicht geschiitzten Speicherbereich 
aufweist, wobei sowohl in dem geschiitzten als auch in dem 
nichtgeschutzten Speicherbereich Schliissel, also Parameter, 
die die elliptische Kurve kennzeichnen, abgelegt werden 
konnen . 

Diese Vorrichtung ist insbesondere geeignet zur Durchfiihrung 
des erf indungsgemafien Verfahrens oder einer seiner vorstehend 
erlauterten Weiterbildungen . 

Weiterbildungen der Erfindung ergeben sich auch aus den 
abhangigen Anspruchen. 

Anhand der folgenden Figur werden Ausfuhrungsbeispiele der 
Erfindung naher dargestellt. 



Es zeigen 
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und somit eine Einsparung eines T«l. des 
Parameter der elliptischen Knrv. benot^gten 
Speicherbereichs erfolgt; 

, . -v-i ^ +-^r, ■Fii-r die Primzahl p, so 
Fig . 2 eine von ^ ^ verkurzt 

dali der Parameter a der exx p 

wird; 

• verfahren zur Bestiamung einer elliptischen Kurve 
Fi " 3 Z InllnlleLnde Transition in die zweite For,; 

Fig . 4 eine anordnung zur *ryptograp h ischen Bearbeitung; 
Fig .5 eine Prozessoreinheit . 

• vprfahren zur Bearbeitung mittels einer 

' Fi9-1 1 Turve Die elliptisc^e Kurve (vgl. Bloc, 101) 
elliptxschen Kurve- Dxe P ^ ^ ^ 

wird dazu von exner ^sten Parame ter der zweiten 

transformiert (vgl. Block 02: , ^ wird 

Form wird verkurzt (vgl. Block 103) ™« Block 
5 zur kryptographischen Bearbeitung ^"^f^ 

104 ) . N ac hf olgend ^lr„ 
eingegangen, wobei exnxge Moglichkexten 
beispielhaft herausgegrif f en werden. 

Parameters a in der uxex * 

^ fl rc)-pr Form, sxehe Bxock iuj-j 
(elliptische Kurve xn erster tor , 

, x (3) 
y 2 = x 3 + ax + b uber GF(p) 

35 erreicbt wird, wobei p insbesondere eine Primzahl grower 3 
1st und GF (P) ein Galois-Feld mit p Elementen darstellt. 
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Eine elliptische Kurve 

y 2 = x 3 + ax + b tiber GF(p) (4) 

5 

laI3t sich durch Transformation in eine birational isomorphe 
elliptische Kurve (elliptische Kurve in zweiter Form, siehe 
Block 102) 

10 y 2 = x 3 + c 4 ax + c 6 b uber GF(p) (5) 



m 



uberfuhren. Durch geeignete Wahl der Konstanten c kann der 
Koef f izient 



4 

15 c a bzw . ( 6 ) 

4 

- c q a (7) 

verkiirzt werden (siehe Block 103) mit dem Vorteil, dali der 
20 zur Speicherung dieses Koef f izienten benotigte Speicherplat z 
im Vergleich zum Speicherplat z fur den Parameter a gering 
sein kann. 

Entsprechend Gleichung (5) werden nachfolgend die Zahlen 

c a (bzw. - c a) und c 

bestimmt . 



1 Bestimmung der Zahl "c a" 

30 

Zur Bestimmung der Zahl c 4 a (bzw. - c 4 a ) unterscheidet man 
bevorzugt die folgenden Falle: 



35 



1.1 p = 3 mod 4 

In diesen Korpern gilt: 

- alle Quadrate sind auch vierte Potenzen, 
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- '-1' ist kein Quadrat. 

Es sei nun p = 4k + 3 und s eine vierte Potenz, welche 
die multiplikative Untergruppe der vierten Potenzen 
(bzw. der Quadrate) in GF(p) erzeugt. 



Es ist 



10 



V 



^1/ S/S/S/.../S ^ 

, - Li _ c _ c 2 _o 3 _ c 2k\ 

' — I ' ' S/S/*..,S / 



die Menge der vierten 
Potenzen in GF (p) und 

die Menge der 
Nichtquadrate in GF(p) . 



15 



20 



1. Zu jedem Element 
existiert ein Element 
mit 

2. Zu jedem Element 
existiert ein Element 
mit 



a = s aus V 
4 _ 2k + l-t 



aus V 



c 4 a = s 2k + 1 = 1 in GF(p) 



a - -s aus V 
c 4 = s 2k + l-t 

c 4 a = _ s 2k + l = 



aus V 

= -1 in GF(p) 



25 



Dabei bezeichnen s, t und k Korperelemente aus GF(p). 

Fur p = 3 mod 4 laftt sich der Parameter a durch 
geeignete Wahl der Konstanten c in die Zahl c 4 a = 1 in 



GF(p) Oder c a 



-1 in GFfp) uberfuhren. 



1.2 p = 1 mod 4 

In einem solchen Korper gilt: 
30 - (p-l)/4 Elemente der multiplikativen Gruppe des 

Korpers sind vierte Potenzen; 

- (p-l)/4 Elemente der multiplikativen Gruppe des 
Korpers sind Quadrate, aber keine vierten Potenzen; 

- (p-l)/2 Elemente der multiplikativen Gruppe des 
35 Korpers sind Nichtquadrate; 
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- ist kein Nichtquadrat . 



A) p = 5 mod 8 

In einem solchen Korper gilt zusatzlich: 

- ' -l 1 ist ein Quadrat, aber keine vierte Potenz, 

- '+2 1 , f -2 ? sind Nichtquadrate. 

Es sei nun p = 8k + 5 und s eine vierte Potenz, welche 
die multiplikative Untergruppe der vierten Potenz in 
GF(p) erzeugt. 

Es ist 



V 



{2 3 2k) 
1, s, s , s , . . . , s ) die Menge der vierten 

Potenzen in GF(p) und 



= {-i,- S/ -s 2 ,-s 3 , . . . ,-s 2k } 



die Menge der Quadrate, 

die keine vierten Potenzen 
in GF(p) sind und 



NQ 



= |2,2s,2s 2 ,2s 3 , . . . ,2s 2k ,-2,-2s,-2s 2 ,-2s 3 , . . . ,-2s 2k J die Menge 

der Nichtquadrate in 
GF(p) . 

1. Zu jedem Element a = s* 1 aus V 
existiert ein Element c 4 = s 2]c + 1 ~ t aus V 

m it c 4 a = s 2k + 1 = 1 in GF(p) . 

2. Zu jedem Element a = -s 1 " aus Q 
existiert ein Element c 4 = s 2k + 1 ~ t aus V 

mi t c 4 a = -s 2k + 1 = -1 in GF(p) . 

3. Zu jedem Element a = 2s 1 " aus NQ 
existiert ein Element c 4 = s 2k + 1_t: aus V 

nvit c 4 a = 2s 2k + 1 =2 in GF(p) . 
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4. Zu jedem Element 



a = -2s 1 - aus NQ 



mit 



existiert ein Element 




= -2 in GF(p) 



aus V 



Fur p = 5 mod 8 lafit sich der Parameter a durch 

geeignete Wahl der Konstanten c in die Zahl 
4 

c a = 1 oder - 1 oder 2 oder - 2 in GF(p) 
iiberf uhren . 

B) p == 1 mod 8 

Die Zahl c 4 a lafit sich nach folgendem Schema ermitteln: 

Fur r=l, -1, 2, -2, 3, -3, 4, -4, . • . 

- bilde z = ra~^ mod p; 

- berechne u s 2 (p-l)/4 moci p; 

- abbrechen, falls u=l ist; 

- speichere z = c^ und r = c^a . 

o 

2 Bestimmung der Zahl "c in GF(p)" 

Zur Bestimmung der Zahl c 2 mod p wird zunachst im 
entsprechenden Korper GF(p) f estgestellt , ob a eine vierte 
Potenz, ein Quadrat aber keine vierte Potenz oder ein 
Nichtquadrat ist. 

2.1 p = 4k + 3 

In diesen Korpern wird u = a^P" 1 )/ 2 j_ n GF(p) berechnet. 

- Ist u=l in GF(p), so ist a eine vierte Potenz (bzw. 
ein Quadrat) . In diesem Fall ist c 4 = a" 1 in GF(p) . 

- Ist u=-l in GF(p), so ist a ein Nichtquadrat. In 
diesem Fall ist c 4 = -a -1 in GF(p) . 



2.2 p = 8k + 5. 
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In diesen Korpern wird u = a (P _1 >/ 4 i n GF(p) berechnet. 

- 1st u=l in GF(p), so ist a eine vierte Potenz. In 
diesem Fall ist c 4 = a"" 1 in GF(p). 

- Ist u=-l, so ist a ein Quadrat aber keine vierte 

4 —1 

Potenz. In diesem Fall ist c = -a in GF(p) . 

- Ist u weder 1 noch -1 in GF(p), so ist a ein 
Nichtquadrat in GF(p). In diesem Fall wird 

v = (2a) (p ~ 1)/4 in GF(p) berechnet. Ist v=l in GF(p), s 
ist c 4 = 2a _1 in GF(p), sonst ist c 4 = -2a" 1 in GF(p) 

2.2 p = 8k + 1 

In diesen Korpern ist nach dem in 1.2, Fall B 
beschriebenen Schema z = c 4 . 



In alien drei Fallen lassen sich mit einem Aufwand von 

2 9 4 

O(log p) die beiden Wurzeln (c und -c ) aus c berechnen. 

Fur den Fall p = 4k + 3 ist nur eine der beiden angegebenen 

Losungen zulassig, namlich diejenige, die ein Quadrat in 

GF(p) ist. In den anderen Fallen sind beide Losungen 

zulassig. Somit lafit sich der Koeffizient c 6 b der 

elliptischen Kurve berechnen. 

Aufgrund der geschlossenen Formeln fur die Falle p = 4k + 3 
und p = 8k + 5 sind in der Praxis derartige Primzahlen zu 
bevorzugen . 
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Bei spiel 1: 

Es sei die Primzahl p = 11 => Fall 1.1: p = 3 mod 4 



Zahl 




t/ i p r t p Pnfpn7pn \/ 


1 


1 
X 


1 
J. 


2 


4 


5 


3 


9 


4 


4 


5 


3 


5 


3 


9 


6 


3 


9 


7 


5 


3 


8 


9 


4 


9 


4 


5 


10 


1 


1 



Tabelle 1: Quadrate und vierte Potenzen mod 11 

Damit ergeben sich die Menge der Quadrate Q, die Menge de: 
vierten Potenzen V und die Menge der Nichtquadrate NQ zu: 

Q = V = {1,3,4,5,9}; 

NQ = {2, 6, 7, 8, 10} . 



V = Q 



ac =1 



a= 



1 
3 
4 
5 
9 



c 4 = 



Tabelle 2: Bestimmung von c 4 bei gegebenem Parameter 
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a e NQ => ac 4 = -1 



a= 


c 4 = 


2 


5 


6 


9 


7 


3 


8 


4 


10 


1 



Tabelle 3: Bestimmung von c bei gegebenem Parameter a 

Tabelle 2 zeigt verschiedene Moglichkeiten einer 
Wertzuordnung von a und c 4 auf, die in der Verkniipfung ac 4 
stets 1 ergeben, und Tabelle 3 zeigt verschiedene 
Moglichkeiten einer Wertzuordnung von a und c 4 auf, die in 
der Verkniipfung ac 4 stets -1 ergeben. Dies gilt in GF(ll) . 

Bei spiel 2: 

Es sei die Primzahl p = 13 => Fall 1 . 2 A) : p = 1 mod 4 und 
zugleich p = 5 mod 8 . 



Zahl 


Quadrate Q 


vierte Potenzen V 


1 


1 


1 


2 


4 


3 


3 


9 


3 


4 


3 


9 


5 


12 


1 


6 


10 


9 


7 


10 


9 


8 


12 


1 


9 


3 


9 


10 


9 


3 


11 


4 


3 


12 


1 


1 



Tabelle 4: Quadrate und vierte Potenzen mod 13 



GR 98 P 1180 



14 

Damit ergeben sich die Menge der Quadrate Q (die keine 
vierten Potenzen sind) , die Menge der vierten Potenzen V 
die Menge der Nichtquadrate NQ zu: 

Q = {4,10,12}; 

V = {1,3,9}; 

NQ = {2,5,6,7,8,11}. 



V 



V 



a= 



1 
3 
9 



Tabelle 5: Bestimmung von c bei gegebenem Parameter 



ac =1 mod 13 



a= 


c 4 = 


ac 4 = 






4 


3 


12 = -1 


mod 


13 


10 


9 


90 = -1 


mod 


13 


12 


1 


12 = -1 


mod 


13 



Tabelle 6: Bestimmung von c bei gegebenem Parameter 



a e NQ 



NQ = {2,5,6,7,8,11}, mit 
2*V = {1,5, 6} und 
2*Q = {7,8,11} 

Fall a : a e NQ und a <= (2 * v) 
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a= 


c 4 = 


ac 4 = 






2 


1 


2=2 


mod 


13 


5 


3 


15 = 2 


mod 


13 


6 


9 


54 = 2 


mod 


13 



Tabelle 7: Bestimmung von c bei gegebenem Parameter a 
=> ac 4 = 2 mod 13 

5 

Fall b : a e NQ und a e (2 * Q) 



-'V 



a= 


c 4 = 


ac 4 = 






7 


9 


63 = -2 


mod 


13 


8 


3 


24 = -2 


mod 


13 


11 


1 


11 = -2 


mod 


13 



Tabelle 8: Bestimmung von c bei gegebenem Parameter a 
10 => ac 4 = -2 mod 13 



Die auf die beschriebene Art gewonnene elliptische Kurve in 
der zweiten Form (siehe Block 103) wird zu einer 
15 kryptographischen Bearbeitung eingesetzt. 

^ Fig. 2 zeigt eine Auswahl von Moglichkeiten fur die Wahl der 

Primzahl p zur Verkurzung des Parameters a (siehe Block 201), 
wie oben beschrieben. Die Moglichkeit 202 bestimmt p derart, 

20 daft p = 3 mod 4 gilt. In diesem Fall laftt sich der Parameter 
a anhand oben beschriebener Vorgehensweise verkurzen. Das 
gleiche gilt fur p = 1 mod 4 (Fall 203), wobei eine 
Fallunterscheidung gesondert die beiden Falle p = 5 mod 8 
(Fall 204) und p = 1 mod 8 (Fall 205) anf uhrt . Die 

25 geschlossenen Formulierungen zur Bestimmung eines verkurzten 
Parameters a sind jeweils oben ausgefuhrt. Fig. 2 zeigt 
ausdrucklich eine Auswahl von Moglichkeiten auf, ohne einen 
Anspruch auf eine umfassende Auswahl anzustreben. 
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ersten schritt 301 elne ellipse 
in Fig. 3 -ird 1» " Ste " und einer PunKtezahl ZP 

Kur „e -it den "™ "* / n eineB Schritt 302 wird dre 

g ema» Gleichunc, .1) (vgl . Gleicnung (2.). Nach 

Illiptische Kurve trans for. ert ^ dle Parane ter 

det Transformation umfaGt da6 die Para meter a 

a ., b ., p und ZP. und b deute vorzu c,sweise der 

und b verandert «urd«. ^ ^ ^ Patamet er a, so da, 

Par ameter ,■ *urz ^ » ansteUe des Parameters a 

durch ^ ern des ar = ^ 
als Kennzeichen der einp 
eingespart wird. 

In Fig .4 rst erne — un 9 » — 

3 dargestellt. 

H ' m 401 vorzugsweise eine ChipXarte, umfaBt 
Ein portables Med 1U m 401, 403 und einen 

einen ,unsic h eren, s^™^^ SE c 402. -hand einer 
ge schutzten <sioheren) s ^ einen Kanal 405 Daten 
, 0 scnnittstelle IFC 404 -rden uber ^ 

ZM iscben dem Medium ( « «» ' mehrere Re cnner, dre 

au sgetauscht. Das ^ untereinander tcommunizieren. 

mi teinander verbunden ^ Mediums 40! sind 

Daten «r~Z2?JZJ£:„ 40, verteilt .erf^ar. 
^5 vorzugsweise in dem 

• v, 40? ist nicht lesbar 
Der g eschutzte ^"^"^"^^^eit, die auf dem portablen 
ausgefonrt. Annand emer Kechene ^ ist , werd en 

Medium 401 oder 1 »^*'^ A ,^eh. 402 genutzt. So 

30 die Daten des ^^"^fo^ als Ergebnis angeben, ob ein 
Kann eine Vergleiohsoperat.o als ^ geschutzte 

r.^- --------- " i * t - 

Speicherberexch 402 oder gehe imer oder prxvater 

403 abgelegt. Insbesondere wxrd 
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Schlussel in dem geschlitzten Speicherbereich und ein 

of f entlicher Schlussel in dem unsicheren Speicherbereich 

abgespeichert . 

In Fig. 5 ist eine Recheneinheit 501 dargestellt. Die 
Recheneinheit 501 umfafit einen Prozessor CPU 502, einen 
Speicher 503 und eine Input/Output-Schnittstelle 504, die 
iiber ein aus der Recheneinheit 501 herausgef iihrtes Interface 
505 auf unterschiedliche Art und Weise genutzt wird: Ober 
eine Graf ikschnittstelle wird eine Ausgabe auf einem Monitor 
507 sichtbar und/oder auf einem Drucker 508 ausgegeben. Eine 
Eingabe erfolgt liber eine Maus 509 oder eine Tastatur 510. 
Auch verfugt die Recheneinheit 501 iiber einen Bus 506, der 
die Verbindung von Speicher 503, Prozessor 502 und 
Input/'Output-Schnittstelle 504 sicherstellt . Weiterhin ist es 
moglich, an den Bus 506 zusatzliche Komponenten 
anzuschlieJien : zusatzlicher Speicher, Festplatte, etc. 
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10 

m 

15 



Patentansgruche 

„ ,»r fcryptograpfciscfcen Bearbeitung anfcand einer 
!. verfahren zur kryp 9 Rech ner, 

eUiptischen Kurve auf e n ersten FOOT 

„ bei d e- die ellipt, *^ paranetet die 

vorgegeben wird, wobei mehrer 

.Ulpti-ch. Kurve elne zue ite For. 

b) bei de* die ^^; S f;J U : ehrere »eit e -P.r-.fr 
■ transformiert wird, »dett der zwei ten 

besti t ^J^t^,. de» ersten 
parameter m seinet 

Parameter verktlrzt der zwe iten Form zur 

ist durch 

2 _ x 3 + a x + b , 



30 



35 



wobei 

x, y 
a,b 
bezeichnen. 



Variablen und 

die ersten Parameter 



ist durch 

y 2 = x 3 + c 4 ax + c 6 b , 



wobei 
x,y 
a,b 

c 

bezeichnen. 



Variablen, 

sten Parameter und 



die er 
eine Konstante 
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Verfa hren nach e^-^LL die 
b ei dem der Parameter a ve 
Konstante c derart gewahlt 

c 4 a mod p 

• ^ a iq die Langen des 

. Verfa hren nach e.nem - .^^^T"' 
b ei dem eine Icryptographxsche Verse 

durchgefuhrt wird. 

h ei nem der vorhergehenden Anspruche, 

durchgefuhrt wird. 

, pinem de r vorhergehenden Anspruche, 

h einem der vorhergehenden Anspruche, 
durchgefuhrt wird. 

At >r vorhergehenden Anspruche, 

10 ::rr:::^-- — - 



wird . 



mit einer Prozessoremheit, die 
daft 
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• , Kurve in e'iner ersten Form vorgegeben 
wird , wobei mehrere erste 
Kurve bestimmen, 



Kurve cesLx«— zweite Form 

b) die elliPt-che Ku-e ^ ^ ^ r 

tranS T^ r lei mindestens einer der zweite 
bestimmt werden ' ge genuber den ersten 

Parameter in seiner Lange g y 



10 



Parser -^^^ iueiten Form zur 

1 f^n^^eitun, b e S ti»t wird. 

kryptograpniscnen 



12 . Vorrichtunc, nach anspruch 11, eingericht et 1st, daf 

rii p erste form ucj. 
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12 . vorrichtung nach ^™ C *^'^ rart einge richtet ist, da. 

bei der 
die ersl 

y 2 = x 3 + ax + b , 
wobei 

die ersten Parameter 



XfY variablen und 



a, b 
bezeichnen. 



13, 



t? 



vorrichtung nach Anspruch 11 lcht . t ist, da. 



30 



,2 = x 3 + c 4 ax + c 6 b , 



wobei 

x y Variablen, 

die ersten Parameter und 



a, b 

eine Konstante 



c 

bezeichnen 



35 M . Vorrichtun, nach •^/."^^.^tUtU ist, da, 

, . Prozessoreinhext derart exng 



bei der die Prozes£ 
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der Parameter a verkurzt wird, indent die Konstante 
derart gewahlt wird, dafi 

4 

c a mod p 

deutlich kurzer bestimmt wird als die Langen des 
Parameters b und die Lange der vorgegebenen Gro/ie p 

Vorrichtung nach einem der Ansprliche 11 bis 14, 
bei der die Vorrichtung eine Chipkarte mit einem 
Speicherbereich ist, wobei in dem Speicherbereich d 
Parameter der elliptischen Kurve abspeicherbar sind 

Vorrichtung nach Anspruch 15, 

bei dem ein geheimer Schliissel in einem geschutzten 
Speicherbereich der Chipkarte abspeicherbar ist. 
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Zusammenf as sung 

Verfahren und Vorrichtung zur kryptographischen Bearbeitung 
anhand einer elliptischen Kurve auf einem Rechner 

Bei der kryptographischen Bearbeitung anhand einer 
elliptischen Kurve werden Parameter der elliptischen Kurve in 
einem Speicher eines Rechners abgespeichert . Diese Parameter 
weisen jeweils erhebliche Lange auf. Urn mindestens einen 
Parameter in seiner Lange deutlich zu verkurzen und dabei 
unverandert hohe Sicherheit zu gewahrleisten, wird die 
elliptische Kurve transf ormiert . Mit einem Algorithmus wird 
ein Parameter bevorzugt zu 1, -1, 2 oder -2 verkiArzt, 
wohingegen die anderen Parameter mehrere 100-Bit Lange 
auf weisen. Gerade bei Chipkarten, die wenige Speicherplat z 
aufweisen, macht sich die Verkiirzung schon eines Parameters 
deutlich bemerkbar. 
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FIG 1 



elliptische Kurve in 
erster Form 



I 



Transformation 
der ersten Form in 
eine zweite Form 



I 



Verkiirzung eines 
Parameters der 
zweiten Form 



I 



Abspeichern der 
zweiten Form zur 
kryptographischen 
Bearbeitung 
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102 



103 



104 
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FIG 2 



202 



Moglichkeiten fur eine 
Verkiirzung des 
Parameters a 



201 



203 



p = 3 mod 4 




p=1 mod 4 











1 



p=5 mod 8 



p=1 mod 8 



204 



205 
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FIG 3 



Auswahl einer elliptischen 
Kurve mit a.b.p und 
Punktezahl ZP 



I 



Transformation in elliptische 
Kurve mit a', b', p und 
Punktezahl ZP 
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FIG 4 
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